已识别
这些数据可以直接引用相关人员,因为其中包含姓名等信息。
可识别
可能无法立即看出数据指的是哪个特定的人。然而,借助额外的知识,可以建立个人参考。一个很好的例子就是车辆牌照——在权威机构的支持下,可以建立个人参考。
相关个人参考
根据这一概念,有关机构(例如员工或部门)是否能够利用其掌握的手段建立个人参考非常重要。如果这些资源不是立即可用的,而必须付出相应的努力才能获得,那么可以有相关的个人推荐。
绝对个人参考
如果办公室或其他人都无法建立任何个人证明,则无法进行身份识别。从理论上来说,建立个人联系肯定是不可能的。
这两种不同的观点已经引发了许多争议,并最终需要由法院来裁决。一个很好的例子就是 IP 地址的处理。大多数公司无法将这些地址分配给特定的人(相对个人参考)。然而,如果具备适当的额外知识(例如来自互联网提供商的知识),在许多情况下还是可以完成任务的(绝对的个人参考)。
自然人与法人的区别
GDPR 的进一步推导如下:必须提及自然人。然而,如果数据与法人有关,则不被视为个人数据。因此,只有明确存在个人数据的情况下,数据保护法才能适用。因此,有必要检查此类数据是否正在被处理,如果是,具体涉及哪些数据。
从法律意义上来说,自然人是活着的人。该人的年龄、性别或国籍并不重要。然而,死者数据的处理不属于数据保护法的主题,这就是为什么数据保护不直接适用于这些数据。
法人与自然人不同,法人并不存在于现实生活中,而仅存在于法律意义上。法人实体的例子有公司、协会或基金会。有关法人实体的信息不被视为个人数据。
然而,处理法人数据时必须谨慎。有些情况下会提及自然人。如果例如例如,如果数据显 俄罗斯电报数据 示哪些人在一家公司工作,那么由于存在链接,这又构成了个人参考。
假名和匿名数据
一些公司处理以前已假名化或匿名化的数据。对数据进行适当的调整可能会使识别有关人员变得更加困难甚至不可能。从数据保护的角度来看,精确区分是重要的。必须明确这些数据是否仍然被视为个人数据。
假名化是用标识符替换姓名和其他识别特征,以排除或显著复杂化数据主体的身份识别。
结论:处理个人数据的责任
对于公司来说,至关重要的是确切了解个人数据是什么以及在哪里处理个人数据。只有了解所处理数据的类型和范围才能有效地实施 GDPR 的要求并保持合法合规。因此,控制者应定期审查其数据处理程序并确保采取适当的保护措施。
数据保护并非理所当然——它需要公司内部不断讨论和提高认识,以尽量减少风险并满足法律要求。